konekto Inc with PHP , MySQL コネクト株式会社 技術情報コンテンツ


セキュリティ指針

アドレスバーの隠蔽をしない

説明

JavaScriptによるポップアップなどで表示されるブラウザウィンドウでは、アドレスバーが隠蔽されていることがある。 これは、GETパラメータの隠蔽などで行われる手法であるが、セキュリティとしてはまったく意味をなさないどころか、セキュリティとしての問題を抱える。

ドメイン名が見えないことで、ユーザは自分が正しいサーバにアクセスを行っているのかがわからなくなり、クライアントからサーバへ秘密情報を送信する時に、正しいサーバにおくられているかを確認するすべがなくなる。 また、これらはブラウザの設定で回避されてしまう事項なので、GETパラメータの隠蔽としても役にはたたないし、GETパラメータが操作されたくらいでセキュリティ上の問題が発生するシステムはそもそもその時点で大きな問題を抱えている。

最近ではフィッシング詐欺などの「Webのオレオレ詐欺というべき」、サイトを偽りへ個人情報やカード番号を盗むケースが発生している。それらは、URLを偽装したりまぎらわしいURLを使用していたりするが、URLを隠さないことはそれらへの対策の第一歩である。


最終更新のRSS